加密货币借贷服务Akropolis表示，一名黑客利用“闪电贷 ”攻击其平台，盗取了价值约200万美元的Dai代币。攻击发生在上周，Akropolis管理员暂停了平台上的所有交易，以防止进一步的损失。 Akropolis表示，虽然它聘请了两家公司对事件进行调查，但两家公司都无法确定该漏洞所使用的攻击载体。尽管如此，该入侵事件被认定为 “闪电贷 ”攻击。 “闪电贷 ”攻击已经成为针对运行DeFi(去中心化金融)平台的加密货币服务的常见攻击，这些平台允许用户使用加密货币借款或贷款，投机价格变化，并赚取类似加密货币储蓄账户的利息。当黑客从DeFi平台(如Akropolis)借出资金，但又利用平台代码中的漏洞逃脱贷款机制并将资金带走时，就会发生闪电贷攻击。 自今年2月初以来，这些攻击的数量一直在增加，其中最大的一次闪电贷攻击发生在10月份，当时黑客从DeFi服务Harvest Finance盗取了价值2400万美元的加密货币资产。 好消息是，Akropolis表示，它已经确定了攻击者的Ethereum账户，这将使它能够跟踪资金在区块链上移动的情况。DeFi平台表示，它已经通知了主要的加密货币交易所关于黑客和攻击者的钱包，试图冻结资金，防止攻击者将资金洗成其他形式的加密货币，失去调查人员的踪迹，并兑现资金。 Akropolis表示，目前正在探索如何补偿用户的损失。       （消息及封面来源：cnBeta）

网络安全研究人员揭秘了韩国一场新型供应链攻击，该攻击滥用合法安全软件和窃取的数字证书，在目标系统上分发远程管理工具（RAT）。 Slovak网络安全公司ESET将此次行动归咎于Lazarus集团，该集团也被称为“Hidden Cobra”。ESET表示，黑客利用了该国的强制要求，即互联网用户必须安装额外的安全软件。 虽然攻击范围有限，但它利用了WIZVERA VeraPort，该程序被宣传为“旨在整合和管理与互联网银行相关的安装程序的程序”，比如银行向个人和企业发放的数字证书，以确保所有交易和处理支付的安全。 这是韩国长期以来针对受害者的间谍攻击的最新进展，包括Operation Troy、2011年的DDoS攻击，以及过去十年针对银行机构和加密货币交易所的攻击。 除了使用上述安装安全软件的技术从合法但受到损害的网站传递恶意软件外，攻击者还使用非法获得的代码签名证书来签署恶意软件样本，其中一份发给了韩国一家名为Dream Security USA的安全公司在美国的分公司。 ESET研究人员PeterKálnai表示：“攻击者将Lazarus恶意软件样本伪装成合法软件。这些样本具有与韩国合法软件相似的文件名，图标和资源。”“被攻击的网站结合了WIZVERA VeraPort支持和特定的VeraPort配置选项，使得攻击者能够执行这种攻击。” ESET的研究人员指出，攻击者的目标是那些使用VeraPort的网站，这些网站还附带了一个base64编码的XML配置文件，其中包含要安装的软件列表及其相关下载URL。ESET的研究人员表示，攻击者通过损害一个合法的网站，然后用非法获得的代码签名证书签署交付有效载荷。 研究人员指出：“WIZVERA VeraPort配置包含一个选项，可以在执行之前对下载的二进制文件进行数字签名验证，并且在大多数情况下，这个选项是默认启用的。”“但是，VeraPort只验证数字签名是有效的，而不检查它属于谁。” 然后，二进制文件继续下载一个恶意软件卸载程序，该程序提取另外两个组件——加载器和下载器，后者被加载器注入到一个Windows进程中（“svchost.exe”）。下载器获取的最后阶段有效载荷采用RAT的形式，它带有允许恶意软件在受害者的文件系统上执行操作的命令，并从攻击者的武器库中下载和执行辅助工具。 更重要的是，此次行动似乎是另一场名为“Operation BookCodes”的攻击的延续，今年4月初韩国互联网与安全局（Korea Internet & Security Agency）详细描述了这一攻击，该攻击在TTPs和命令与控制（C2）基础设施上存在明显重叠。 研究人员表示，“攻击者对供应链攻击特别感兴趣，因为他们可以在同一时间秘密地在许多电脑上部署恶意软件。” “支持VeraPort的网站的所有者可以通过启用特定选项（例如在VeraPort配置中指定二进制文件的哈希值）来降低此类攻击的可能性，如果网站已经受到了攻击也可以采用这种方法。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Microsoft Defender Advanced Threat Protection 是微软提供的终端安全平台，可以帮助企业预防、检测、调查和应对高级威胁。微软近日确认，将把网络保护功能带到 MacOS 上（适用于 macOS ver 10.15.4 及更高版本）。 网络保护（Network Protection）有助于减少设备受到网络攻击事件的影响，它可以防止员工使用任何应用程序访问危险的域，这些域可能承载着互联网上的钓鱼诈骗、漏洞和其他恶意内容。网络保护扩大了 Microsoft Defender SmartScreen 的范围，可以阻止所有试图连接到低声誉来源（基于域或主机名）的出站HTTP（s）流量。 网络保护功能将于2020年12月登陆 macOS 平台。       （消息及封面来源：cnBeta）

据路透社消息，在监管威胁加剧和严重安全漏洞的困扰下，社交媒体巨头Twitter正在任命世界上最知名的黑客之一来解决从工程失误到错误信息的一切问题。该公司周一任命Peiter Zatko（因其黑客账号Mudge而广为人知）担任新的安全主管一职，赋予他广泛的授权，对结构和做法提出改革建议。Zatko向Twitter首席执行官杰克·多西负责，预计在经过45到60天的审查后，他将接管关键安全职能的管理。 Zatko在接受专访时表示，他将审查 “信息安全、网站完整性、物理安全、平台完整性–开始触及平台的滥用和操纵–以及工程”。 Zatko最近在电子支付独角兽Stripe负责安全工作。在此之前，他曾在谷歌从事特殊项目的工作，并在五角大楼著名的国防高级研究与计划局（DARPA）监督发放网络安全项目的拨款。Zatko多姿多彩的职业生涯始于20世纪90年代，当时他同时为一家政府承包商进行机密工作，并且是Cult of the Dead Cow（一个因发布Windows黑客工具而臭名昭著的黑客组织）的领导人之一，以激励微软改善安全状况。 “我不知道是否有人能解决Twitter的安全问题，但他会是我的首选。”Dan Kaufman说，他曾在DARPA监督Zatko，现在是谷歌高级产品组的负责人。 Twitter面临众多安全挑战。一年前，美国政府指控两名男子多年前在Twitter工作时为沙特从事间谍活动，称他们传递了有关沙特王国批评者的私人信息。 7月，一群年轻的黑客欺骗了员工，并赢得了对内部工具的访问权，这让他们改变了账户设置，然后从当时的总统候选人乔·拜登，微软创始人比尔·盖茨和特斯拉首席执行官埃隆·马斯克的账户中发推文。 “今年夏天的数据泄露事件是一个重要的提醒，提醒人们在建立一些必要的基本安全功能方面，Twitter需要走多远，以运行一个被对手瞄准的服务，比因该事件被捕的青少年更熟练，”前Facebook首席安全官、现任斯坦福大学研究员Alex Stamos说，他曾帮助领导打击选举虚假信息的努力。 曾经在Zatko的安全咨询公司工作过的Stamos称，对于一家缺乏Facebook和谷歌财力的公司来说，他是一个非常合适的人选。“他们将不得不为这些问题找到创造性的解决方案，如果说Mudge在安全领域有什么出名的地方，那就是有创造性。” Zatko表示，他致力于改善Twitter上的公共对话。他称赞了最近的一项举措，即通过提示用户发表评论而不是简单的转发来增加“摩擦力”；他说，下一步可能是强迫人们在参与长对话之前理解对话内容。 Zatko说，他赞赏Twitter对非常规安全方法的开放态度，比如他提出的通过操纵从Twitter收到的关于人们如何与他们的帖子进行互动的数据来迷惑坏人。“他们愿意承担一些风险，”Zatko谈到他的新雇主时说。“在算法和算法偏差的挑战下，他们不会袖手旁观，等待别人解决这个问题。”       （消息及封面来源：cnBeta）

TroubleGrabber是一种新的凭证窃取恶意软件，它通过Discord的附件传播，并使用Discord消息将窃取的凭证传回给攻击者。虽然它在功能上与AnarchyGrabber有一些相似之处，但实现方式不同。TroubleGrabber是一个名叫“Itroublve”的人写的，目前被多个攻击者用来针对Discord的受害者。 该恶意软件主要通过drive-by下载，窃取web浏览器令牌、Discord webhook令牌、web浏览器密码和系统信息。此信息通过webhook作为聊天消息发送到攻击者的Discord服务器。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1399/       消息来源：netskope，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

来自加利福尼亚大学和清华大学的一群学者发现了一系列严重的安全漏洞，这些漏洞可能导致DNS缓存中毒攻击死灰复燃。 这种技术被称为“SAD DNS攻击”（Side-channel AttackeD DNS的缩写），该技术使攻击者可以进行路径外攻击，将最初发往特定域的所有流量重新路由到其控制下的服务器，从而允许他们窃听和篡改通信。 研究人员表示：“这是一个重要的里程碑，这是第一个可武器化的网络侧通道攻击，具有严重的安全影响。”“这使攻击者可以将恶意DNS记录注入DNS缓存中。” 这一发现被追踪为CVE-2020-25705。该漏洞影响操作系统Linux 3.18-5.10，Windows Server 2019（版本1809）和更高版本，macOS 10.15和更高版本以及FreeBSD 12.1.0和更高版本。   DNS转发器成为新的攻击面 DNS解析器通常将对IP地址查询的响应缓存特定时间段，以提高网络中响应性能。但可以利用这种机制来毒化缓存，方法是为给定网站模拟IP地址DNS条目，并将尝试访问该网站的用户重定向到攻击者选择的其他站点。 但是，此类攻击的有效性受到了一定程度的影响，因为诸如DNSSEC（域名系统安全扩展）之类的协议通过在现有DNS记录中添加加密签名和允许DNS的基于随机化的防御来创建安全的域名系统解析程序为每个查询使用不同的源端口和事务ID（TxID）。   一种新颖的Side-Channel攻击 研究人员指出，由于“激励和兼容性”的原因，这两种缓解措施还远未得到广泛应用，因此他们设计了一种Side-Channel攻击，可以成功地用于最流行的DNS软件堆栈。所以，像Cloudflare的1.1.1.1和Google的8.8.8.8这样的公共DNS解析程序易受攻击。 SAD DNS攻击的工作原理是利用任何网络中的一台受损机器，该网络能够触发DNS转发器或解析器的请求，例如咖啡馆、购物中心或机场中由无线路由器管理的公共无线网络。 然后，它利用网络协议栈中的一个侧信道来扫描并发现哪些源端口用于启动DNS查询，随后通过暴力强制TxIDs注入大量伪造的DNS应答。 更具体地说，研究人员使用域名请求中使用的一个通道，通过向受害者服务器发送每个具有不同IP地址的伪造UDP数据包来缩小确切的源端口号，并根据收到的ICMP响应（或没有响应）来推断是否已命中正确的源端口。 这种端口扫描方法达到每秒1000个端口的扫描速度，累计需要60秒多一点的时间来枚举由65536个端口组成的整个端口范围。然后，攻击者所要做的就是插入一个恶意IP地址来重定向网站流量，并成功地完成DNS缓存中毒攻击。   减轻SAD DNS攻击 除了演示如何扩展攻击窗口（允许攻击者扫描更多端口并注入额外的恶意录来攻击DNS缓存）外，该研究还发现，互联网上超过34%的开放解析程序易受攻击，其中85%由流行的DNS服务（如Google和Cloudflare）组成。 为了应对SAD DNS，研究人员建议禁用传出的ICMP响应，并更积极地设置DNS查询的超时。 研究人员还提供了一种工具来检查容易受到此攻击的DNS服务器。此外，该小组与Linux内核安全团队合作开发了一个补丁，该补丁随机化ICMP全局速率限制，从而将噪声引入旁通道。 研究人员得出结论：“这项研究提出了一种基于全球ICMP速率限制的侧通道，所有现代操作系统都普遍采用这种限制。”“这可以有效扫描DNS查询中的UDP源端口。结合扩展攻击窗口的技术，可以导致DNS缓存中毒攻击死灰复燃。”       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

外媒报道称，疑似受到俄朝支持的黑客，已将参与 COVID-19 疫苗研发的制造公司视作攻击目标。科技巨头微软周五表示，其发现了针对美国、加拿大、法国、印度、韩国七家企业的此类攻击。遗憾的是，尽管其已设法阻止了“大多数”攻击，但微软还是承认其中有些已经得逞。 截图（来自：Microsoft Blog） 目前微软已经向受影响的公司发去了通知，但拒绝披露确切的名字。微软客户安全与信任负责人 Tom Burt 在博客中写道：“我们认为这些攻击是不合情理的，应该受到所有文明社会的谴责”。 据悉，这些攻击源于三个不同的黑客组织，其中就包括与俄方有说不清道不明关系的 Strontium（又名 APT28 或 Fancy Bear）。 Strontium 利用密码喷洒（Password Spraying）来针对受害者，通常涉及循环重用密码。 上一次闹出大动静，还是 2016 年美国总统大选期间的虚假信息传播与黑客行动，同时该组织也因针对媒体和企业的一系列其它高调攻击而遭到指责。 第二个黑客团体被微软称作 Zinc（又名 Lazarus Group），其疑似与朝方有联系，擅长通过钓鱼邮件骗取受害者的密码凭证。 据说 2016 年的索尼黑客攻击，2017 年的 WannaCry 勒索软件等事件，幕后都有着 Lazarus 的身影。 第三个黑客团体，则是知名度相对较低的 Cerium 。微软对这个疑似与朝方有关的组织知之甚少，但指责其利用伪装成世卫组织代表的钓鱼邮件来破坏全球抗击 COVID-19 大流行所做出的共同努力。 Tom Burt 呼吁，世界各地的领导人应拿起法律武器，参与到医疗机构的保护中去。以及在允许的范围内，对相关网络犯罪团体采取制裁行动。         （消息来源：cnBeta；封面来源于网络）

最新研究显示，今年9月初，针对运行Magento 1.x电子商务平台零售商的网络攻击是由一个攻击组织发起的。 RiskIQ在11月11日发表的一份报告中说：“这个组织实施了大量不同种类的Magecart攻击，这些攻击通常通过供应链攻击（如Adverline事件）或利用漏洞（如9月Magento 1事件）危害大量网站。” 这些攻击被统称为CardBleude，针对至少2806多家Magento 1.x的在线商店，这些商店在2020年6月30日已经停止使用。 Magecart是针对在线购物系统的不同黑客团体的联合体，在购物网站上注入电子窃取程序以窃取信用卡详细信息是Magecart已实践过的作案手法。 其攻击被称为formjacking攻击，攻击者通常会在支付页面上偷偷将JavaScript代码插入到电子商务网站中，以实时捕获客户卡的详细信息并将其传输到远程攻击者控制的服务器。 但在最近几个月中，Magecart组织加大了攻击，他们将代码隐藏在图像元数据中，甚至进行了IDN同形攻击，以隐藏在网站的favicon文件中的网络浏览器。 Cardbleed（最初由Sansec记录）通过使用特定域与Magento管理面板进行交互，然后利用“Magento Connect”功能下载并安装一个名为“mysql.php”的恶意软件。在skimmer代码被添加到“prototype.js”后，它会自动删除。 现在，根据RiskIQ的说法，这些攻击具有Magecart group 12组织的所有特征。 此外，刚刚提到的skimmer是Ant和Cockroach在2019年8月首次观测到的skimmer的变体。 有趣的是，研究人员观察到的其中一个域名（myicons[.]net）也与5月份的另一个活动有关，在那个活动中，一个Magento favicon文件被用来把skimmer隐藏在支付页面上，并加载一个假的支付表单来窃取捕获的信息。 但就在恶意域名被识别时，Magecart group 12已经熟练地换入了新的域名，以继续进行攻击。 RiskIQ的研究人员表示:“自从Cardbleed行动被公开以来，攻击者已经重组了他们的基础设施。”“他们开始从ajaxcloudflare[.]com装载skimmer，并将渗透转移到最近注册的域console..in中。” RiskIQ威胁研究人员Jordan Herman表示，“升级到Magento 2是一种特别的缓解措施，尽管升级的成本可能会让较小的供应商望而却步。” 他补充说，“还有一家名为Mage One的公司也在继续支持和修补Magento 1。他们发布了一个补丁来缓解攻击者在10月底利用的特殊漏洞。所以，防止这类攻击的最好方法是让电子商店在其网站上运行完整的代码清单，这样他们就可以识别出软件的弃用版本，以及任何其他可能引发Magecart攻击的漏洞”。       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

11月12日，网络安全研究人员披露了一种新型的模块化后门，该后门针对Oracle的销售点（POS）餐馆管理软件，以试图窃取存储在设备中的敏感支付信息。 这个被称为“ModPipe”的后门影响了Oracle MICROS餐厅企业系列（RES）3700 POS系统，这是一个在餐厅和酒店业中广泛使用的软件套件，可以有效地处理POS、库存和人工管理。大多数已经确定的目标主要位于美国。 ESET的研究人员在报告中说：“后门的与众不同之处在于它的可下载模块及其功能，因为它包含一个自定义算法，该算法通过从Windows注册表值中解密来收集RES 3700 POS数据库密码。” “经过筛选的凭据使ModPipe的操作者可以访问数据库内容，包括各种定义和配置，状态表以及有关POS交易的信息。” 值得注意的是，在RES 3700中，诸如信用卡号和有效期之类的详细信息受到加密屏障的保护，从而限制了可能被进一步滥用的有价值的信息量，尽管研究人员认为，攻击者可能拥有第二个可下载模块解密数据库的内容。 ModPipe基础结构由一个初始删除程序组成，该删除程序用于安装持久性加载程序，然后将其解压缩并加载下一阶段的有效负载，该有效负载是主要的恶意软件模块，用于与其他“downloadable”模块以及命令和控制（ C2）服务器建立通信。 可下载模块中的主要组件包括“GetMicInfo”，该组件可以使用特殊算法来拦截和解密数据库密码，ESET研究人员认为，可以通过对密码库进行反向工程或利用所获得的加密实现细节来实现该功能。 第二个模块为“ModScan 2.20”，用于收集有关已安装POS系统的额外信息（如版本、数据库服务器数据），而另一个模块名为“Proclist”，收集当前运行进程的详细信息。 研究人员表示:“ModPipe的架构、模块及其功能也表明，它的作者对目标RES 3700pos软件有广泛的了解。”“运营商的熟练可能源于多种情况，包括窃取和逆向工程专有软件产品，滥用泄露的部件，或从地下市场购买代码。” 建议使用RES 3700 POS的酒店企业升级到软件的最新版本，并使用运行底层操作系统更新版本的设备。     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

该活动被Blackberry研究人员称为“CostaRicto”，这场运动似乎是APT组织的杰作，他们拥有定制的恶意软件工具和复杂的VPN代理和SSH隧道。 研究人员表示，“CostaRicto的目标分散在欧洲、美洲、亚洲、澳大利亚和非洲的不同国家，但最大的集中似乎在南亚（特别是印度、孟加拉国、新加坡和中国），这表明攻击者可能驻扎在该地区。但是，他们从不同的客户那里获得了广泛的佣金。” 攻击者通过被盗凭证在目标环境中获得了立足之地后，便开始建立SSH隧道以下载后门和称为CostaBricks的有效负载加载器，该负载实现了C ++虚拟机机制来解码并将字节码有效负载注入内存。 除了DNS隧道管理命令与控制（C2）服务器，上述加载器提供的后门是一个名为SombRAT的c++编译可执行文件。 后门配备了50个不同的命令来执行特定任务（可分为core、taskman、config、storage、debug、network函数），从将恶意dll注入内存到枚举存储中的文件，再到将捕获的数据泄漏到攻击者控制的服务器。 总共已经确定了6个版本的SombRAT，第一个版本可以追溯到2019年10月，最新的版本在今年8月初观测到，这意味着后门正在积极开发中。 虽然攻击者的身份仍不清楚，但其中一个注册了后门域名的IP地址与早前一次网络钓鱼活动有关，该网络钓鱼活动是由与俄罗斯有关的APT28黑客组织发起的，暗示着网络钓鱼活动有可能被外包给代表攻击者的雇佣兵。 这是Blackberry发现的第二起黑客雇佣行动，第一起是由一个名为Bahamut的组织发起的一系列行动，他们利用零日漏洞、恶意软件和虚假信息来跟踪中东和南亚的目标。 Blackberry研究人员表示:“勒索软件即服务（RaaS）取得了不可否认的成功，因此网络犯罪市场扩大其业务范围，将专门的网络钓鱼和间谍活动添加到服务列表中也就不足为奇了。” “将攻击或攻击链的某些部分外包给独立的佣兵组织，对攻击者有很多好处——它可以节省自己的时间和资源，简化程序，最重要的是，它利于保护自己的真实身份。”       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。